国内外信息安全标准

姓名杨直霖

信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。

国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提出制定。

国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了。

用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM 标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。

国内信息安全标准:为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下，我国已经制修订了几十个信息安全标准，为信息安全产品检测认证提供了技术基础。

2001年，我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前，国内最新版本GB/T18336-2008采用了IS0/IEC15408-2005．即CC 。

我国信息安全标准借鉴了GB/T 18336结构框架和技术要求，包括安全功能要求、安全保证要求和安全保证级的定义方法，以及标准的框架结构等。例如，GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求，包括安全环境、安全目的和安全要求（安全功能要求和安全保证要求）等内容，以及CC标准预先定义的安全保证级别(EAL4)。同时，结合国内信息安全产品产业的实际情况，我国信息安全标准还规定了产品功能要求和性能要求，以及产品的测试方法。有些标准描述产品分级要求时，还考虑了产品功能要求与性能要求方面的影响因素。

国外信息安全现状

信息化发展比较好的发达国家，特别是美国，非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局，分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等，主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初，美国出台了电脑空间安全计划，旨在加强关键基础设施、

计算机系统网络免受威胁的防御能力。2000年7月，日本信息技术战略本部及信息安全会议拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》，明确了保护信息安全的措施。

美、俄、日均以法律的形式规定和规范信息安全工作，对有效实施安全措施提供了有力保证。2000年10月，美国的电子签名法案正式生效。2000年10月日美参议院通过了《互联网网络完备性及关键设备保护法案》。日本于2000年6月公布了旨在对付黑客的《信息网络安全可靠性基准》的补充修改方案。2000年9月，俄罗斯实施了关于网络信息安全的法律。

国际信息安全管理已步入标准化与系统化管理时代。在20世纪90年代之前，信息安全主要依靠安全技术手段与不成体系的管理规章来实现。随着20世纪80年代ISO9000质量管理体系标准的出现及随后在全世界的推广应用，系统管理的思想在其他领域也被借鉴与采用，信息安全管理也同样在20世纪90年代步入了标准化与系统化的管理时代。1995年英国率先推出了BS7799信息安全管理标准，该标准于2000年被国际标准化组织认可为国际标准ISO/IEC 17799。现在该标准已引起许多国家与地区的重视，在一些国家已经被推广与应用。组织贯彻实施该标准可以对信息安全风险进行安全系统的管理，从而实现组织信息安全。其他国家及组织也提出了很多与信息安全管理相关的标准。

国内信息安全现状

我国已初步建成了国家信息安全组织保障体系。国务院信息办专门成立了网络与信息安全领导小组，各省、市、自治州也设立了相应的管理机构。2003年7月，国务院信息化领导小组通过了《关于加强信息安全保障工作的意见》，同年9月，中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全

保障工作的意见》，把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度，并提出了“积极防御，综合防范”的信息安全管理方针。2003年7月成立了国家计算机网络应急技术处理协调中心，专门负责收集、汇总、核实、发布权威性的应急处理信息。2001年5月成立了中国信息安全产品测评认证中心和代表国家开展信息安全测评认证工作的职能机构，还建立了依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系。

制定和引进了一批重要的信息安全管理标准。发布了国家标准《计算机信息系统安全保护等级划分准则》（GB 17895-1999）、《信息系统安全等级保护基本要求》等技术标准和《信息安全技术信息系统安全管理要求》（GB/T 20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T 20282-2006）、《信息系统安全等级保护基本要求》等管理规范，并引进了国际上着名的《ISO17799:2000:信息安全管理实施准则》、《BS7799-2:2000:信息安全管理体系实施规范》等信息安全管理标准。

制定了一系列必需的信息安全管理的法律法规。从20世纪90年代初起，为配合信息安全管理的需要，国家相关部门、行业和地方政府相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《电子签名法》等有关信息安全管理的法律法规文件。

信息安全风险评估工作已经开展。并成为信息安全管理的核心工作之一，由国家信息中心组织先后对四个地区(北京、广州、深圳和上海)，十几个行业的50 多家单位进行了深入细致的调查与研究，最终形成了《信息安全风险评估调查报

告》、《信息安全风险评估研究报告》和《关于加强信息安全风险评估工作的建议》。制定了《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）。

我国信息安全管理尚存在许多的问题：

1）信息安全管理现状比较混乱，缺乏一个国家层面上的整体策略，实际管理力度不够，政策执行和监督力度也不够。

2）具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序及相关资源等要素的信息安全管理体系还未建立起来。

3）具有我国特点的信息安全风险评估标准体系还有待完善，信息安全的需求难以确定，缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。

4）信息安全意识缺乏，普遍存在重产品、轻服务，重技术、轻管理的思想。 5）专项经费投入不足，管理人才极度缺乏，基础理论研究和关键技术薄弱，严重依靠国外。

6）技术创新不够，信息安全管理产品水平和质量不高。

7）缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构，致使我国现有的一些信息安全管理方面的法律法规层次不高。执法主体不明确，多头管理，规则冲突，缺乏可操作性，执行难度较大，有法难依。

2017年中国信息安全行业发展现状及未来发展趋势分析

2017年中国信息安全行业发展现状及未来发展趋势分析（一）行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制信息安全行业主要受信息产业及安全主管部门的监管，具体如下：数据来源：公开资料整理 2、行业主要法律法规及政策（1）行业主要法律法规信息安全行业，受到信息安全行业相关法律法规的管理。行业的主要法律法规如下：

数据来源：公开资料整理（2）行业主要发展政策

行业主要发展政策如下：数据来源：公开资料整理（二）信息安全行业概况及未来发展趋势 1、信息安全的定义

信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护，使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁，保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性：数据来源：公开资料整理 2、信息安全行业的技术、产品和服务（1）信息安全技术为了实现信息安全的七个核心属性，需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而，目前信息安全的主流技术包括信息系统自身的安全技术（物理安全和运行安全技术）、信息自身的安全技术（数据安全与内容安全技术）、信息利用的安全技术（信息对抗技术），具体如下：

数据来源：公开资料整理（2）信息安全产品信息安全产品按照功能分类主要包括：防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子签名类产品、安全审计类产品以及终端安全管理产品等。主要产品的情况如下：

国家标准信息安全管理实用规则

国家标准《信息安全技术安全漏洞分类规范》（征求意见稿）编制说明一、工作简况 1.1任务来源《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目，国标计划号为：20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草，中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。 1.2主要工作过程 1、2010年6月，组织参与本规范编写的相关单位召开项目启动会，成立规范编制小组，确立各自分工，进行初步设计，并听取各协作单位的相关意见。 2、2010年7月，根据任务书的要求，规范编制小组开展考察调研和资料搜集工作，按照需求分析整理出安全漏洞分类规范的框架结构。 3、2011年4月，按照制定的框架结构，确定分类的原则和方法，形成《安全漏洞分类规范》草稿V1.0。 4、2011年7月，课题组在专家指导下，积极采纳国外相关漏洞分类的原则，形成《安全漏洞分类规范》草稿V1.1。 5、2011年8月26日，规范编制小组在积极采纳专家意见的基础上，对规范内容进行修改，形成《安全漏洞分类规范》草稿V1.2。 6、2013年8月28日，安标委秘书处组织了该标准的专家评审，编制小组听取了专家意见，对标准文本的内容进行修订、简化，形成《安全漏洞分类规范》草稿V1.3。 7、2014年11月，安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决，通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见，标准编制组对意见进行了逐条分析和理解，对标准文本进行了完善，形成了《安全漏洞分类规范》征求意见稿及相关文件。二、编制原则和主要内容 2.1 编制原则

中国信息安全行业发展现状及未来发展趋势分析

年中国信息安全行业发展现状及未来发展趋势分析

————————————————————————————————作者：————————————————————————————————日期：

数据来源：公开资料整理

（2）行业主要发展政策行业主要发展政策如下：数据来源：公开资料整理（二）信息安全行业概况及未来发展趋势 1、信息安全的定义

第十期-《我国信息安全技术标准体系与认证认可制度介绍》

第十期《我国信息安全技术标准体系与认证认可制度介绍》一. 什么是信息安全技术标准体系？为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设，使信息安全在各个方面都有据可依，信息安全标准的制定显得十分重要，国际国内都形成了具有一定规模的信息安全标准体系。信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准编制、修订计划的重要依据，是促进信息安全领域内的标准组成趋向科学合理化的手段。信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等，而且通常高层次的标准体系对下有约束力。事实上，在这些特定领域标准的执行还要看各个国家的管理法规和制度。国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。二. 国内外信息安全标准化组织有哪些？国际上与信息安全标准化有关的组织主要有以下四个。1.ISO/IEC JTC1 （信息技术标准化委员会）所属SC27 （安全技术分委员会）的前身是SC20 （数据加密技术分委员会），主要从事信息技术安全的一般方法和技术的标准化工作。ISO/TC68 负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27 有着密切的联系。ISO/IEC JTC1 负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。 2. lEC 在信息安全标准化方面除了与ISO 联合成立了JTC1 下的分委员会外，还在电信、信息技术和电磁兼容等方面成立了技术委员会，如TC56 可靠性、TC74 IT 设备安全和功效、TC77 电磁兼容、TC108 音频/ 视频、信息技术和通信技术电子设备的安全等，并且制定相关国际标准。 3.ITU SG17 组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等。 4.IETF（Internet 工程任务组）制定标准的具体工作由各个工作组承担。IETF 分成八个工作组，分别负责Internet 路由、传输、应用等八个领域，其著名的IKE 和IPSec 都在RFC 系列之中，还有电子邮件、网络认证和密码及其他安全协

国内外信息安全产品认证标准简介

国内外信息安全产品认证标准简介信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。一、国外信息安全标准发展现状 l .CC标准的发展过程 CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提出制定。CC标准的发展过程见附图。国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了CCV3.1。用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 2. CC标准内容介绍 CC标准共分为三部分,主要内容包括信息技术安全性评估的一般模型和基本框架，以及安全功能要求和安全保证要求，目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。CC标准为不同国家或实验室的评估结果提供了可比性。 CC标准的第一部分为简介和一般模型，描述了信息安全相关的基本概念和模型，以及PP和ST的要求。PP是为一类产品或系统定义信息安全技术要求，包括功要求和保证要求。ST则定义了一个既定评估对象(TOE-TarEet of aluation)的IT

国内外信息安全研究现状及发展趋势

国内外信息安全研究现状及发展趋势国内外信息安全研究现状及发展趋势（一）冯登国随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为"攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）"等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域，它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果，进行自主创新研究，加强顶层设计，提出系统的、完整的，协同的解决方案。与其他学科相比，信息安全的研究更强调自主性和创新性，自主性可以避免陷门"，体现国家主权；而创新性可以抵抗各种攻击，适应技术发展的需求。就理论研究而言，一些关键的基础理论需要保密，因为从基础理论研究到实际应用的距离很短。现代信息系统中的信息安全其核心问题是密码理论及其应用，其基础是可信信息系统的构作与评估。总的来说，目前在信息安全领域人们所关注的焦点主要有以下几方面： 1）密码理论与技术； 2）安全协议理论与技术； 3）安全体系结构理论与技术； 4）信息对抗理论与技术； 5）网络安全与安全产品。下面就简要介绍一下国内外在以上几方面的研究现状及发展趋势。 1．国内外密码理论与技术研究现状及发展趋势密码理论与技术主要包括两部分，即基于数学的密码理论与技术（包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等）和非数学的密码理论与技术（包括信息隐形，量子密码，基于生物特征的识别理论与技术）。自从1976年公钥密码的思想提出以来，国际上已经提出了许多种公钥密码体制，但比较流行的主要有两类：一类是基于大整数因子分解问题的，其中最典型的代表是RSA；另一类是基于离散对数问题的，比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。由于分解大整数的能力日益增强，所以对RSA的安全带来了一定的威胁。目前768比特模长的RSA已不安全。一般建议使用1024比特模长，预计要保证20年的安全就要选择1280比特的模长，增大模长带来了实现上的难度。而基于离散对数问题的公钥密码在目前技术下512比特模长就能够保证其安全性。特别是椭圆曲线上的离散对数的计算要比有限域上的离散对数的计算更困难，目前技术下只需要160比特模长即可，适合于智能卡的实现，因而受到国内外学者的广泛关注。国际上制定了椭圆曲线公钥密码标准IEEEP1363，RSA等一些公司声称他们已开发出了符合该标准的椭圆曲线公钥密码。我国学者也提出了一些公钥密码，另外在公钥密码的快速实现方面也做了一定的工作，比如在RSA的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。公钥密码的快速实现是当前公钥密码研究中的一个热点，包括算法优化和程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。公钥密码主要用于数字签名和密钥分配。当然，数字签名和密钥分配都有自己的研究体系，形成了各自的理论框架。目前数字签名的研究内容非常丰富，包括普通签名和特殊签名。特

征信机构信息安全规范

征信机构信息安全规范一、总则 1.1标准适用范围标准规定了不同安全保护等级征信系统的安全要求，包括安全管理、安全技术和业务运作三个方面。标准适用于征信机构信息系统的建设、运行和维护，也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行，标准还可作为专业检测机构开展检测、认证的依据。 1.2相关定义（一）征信系统：征信机构与信息提供者协议约定，或者通过互联网、政府信息公开等渠道，对分散在社会各领域的企业和个人信用信息，进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。（二）敏感信息：影响征信系统安全的密码、密钥以及业务敏感数据等信息。 1、密码包括但不限与查询密码、登录密码、证书的PIN等。 2、密钥包括但不限与用于确保通讯安全、报告完整性的密

钥。 3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。（三）客户端程序：征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能（如数据采集）的程序，并提供必需功能的组件，包括但不限于：可执行文件、控件、浏览器插件、静态链接库、动态链接库等（不包括IE等通用浏览器）；或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。（四）通讯网络：通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连，征信系统安全设计应在考虑建设成本、网络便利性等因素的同时，采取必要的技术防护措施，有效应对网络通讯安全威胁。（五）服务器端：服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序，征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等，在外部威胁和受保护的资源间建立多道严密的安全防线。 1.3总体要求本标准从安全管理、安全技术和业务运作三个方面提出征信

信息安全评估标准简介

信息安全产品评估标准综述全国信息安全标准化技术委员会安全评估标准组崔书昆信息安全产品，广义地是指具备安全功能（保密性、完整性、可用性、可鉴别性与不可否认性）的信息通信技术（ICT）产品，狭义地是指具备上述功能的专用信息通信技术产品。这些产品可能是硬件、固件和软件，也可能是软、固、硬件的结合。一、国外信息安全产品评估标准的发展以美国为首的西方发达国家和前苏联及其盟国，早在20世纪50年代即着手开发用于政府和军队的信息安全产品。到20世纪末，美国信息安全产品产值已达500亿美元。随着产品研发，有关信息安全产品评估标准的制定也相应地开展起来。（一）国外信息安全产品评估标准的演变国际上信息安全产品检测评估标准的发展大体上经历了三个阶段： 1.本土化阶段 1983年，美国国防部率先推出了《可信计算机系统评估准则》（TCSEC），该标准事实上成了美国国家信息安全评估标准，对世界各国也产生了广泛影响。在1990年前后，英国、德国、加拿大等国也先后制定了立足于本国情况的信息安全评估标准，如加拿大的《可信计算机产品评估准则》（CTCPEC）等。在欧洲影响下，美国1991年制定了一个《联邦（最低安全要求）评估准则》（FC），但由于其不完备性，未能推开。 2.多国化阶段由于信息安全评估技术的复杂性和信息安全产品国际市场的逐渐形成，单靠一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求，于是多国共同制定统一的信息安全产品评估标准被提了出来。 1991年欧洲英、法、德、荷四国国防部门信息安全机构率先联合制定了《信息技术安全评估准则》（ITSEC），并在事实上成为欧盟各国使用的共同评估标准。这为多国共同制定信息安全标准开了先河。为了紧紧把握信息安全产品技术与市场的主导权，美国在欧洲四国出台ITSEC之后，立即倡议欧美六国七方（即英、

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578 按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 6.1 个人信息保存时间最小化对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施; b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容： 9.1 安全事件应急处置和报告对个人信息控制者的要求包括： a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置： 1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或

ISO27001信息安全管理体系标准中文版

ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)

0简介 0.1总则本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。本国际标准可以用于内部、外部评估其符合性。 0.2过程方法本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。通常，一个过程的输出直接形成了下一个过程的输入。组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性： a)了解组织信息安全需求和建立信息安全策略和目标的需求； b)在组织的整体业务风险框架下，通过实施及运作控制措施管理组织的信息安全风险； c)监控和评审ISMS的执行和有效性； d)基于客观测量的持续改进。本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the

国家信息安全等级保护制度介绍

信息安全等级保护制度介绍一、开展信息安全等级保护工作的重要性和必要性信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。三、工作分工和组织协调（一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。（二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业

国内外信息安全标准

国内外信息安全标准姓名杨直霖信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提出制定。国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了。用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。国内信息安全标准:为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下，我国已经制修订了几十个信息安全标准，为信息安全产品检测认证提供了技术基础。 2001年，我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前，国内最新版本GB/T18336-2008采用了 IS0/IEC15408-2005．即CC 。我国信息安全标准借鉴了GB/T 18336结构框架和技术要求，包括安全功能要求、安全保证要求和安全保证级的定义方法，以及标准的框架结构等。例如，GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求，包括安全环境、安全目的和安全要求（安全功能要求和安全保证要求）等内容，以及CC标准预先定义的安全保证级别(EAL4)。同时，结合国内信息安全产品产业的实际情况，我国信息安全标准还规定了产品功能要求和性能要求，以及产品的测试方法。有些标准描述产品分级要求时，还考虑了产品功能要求与性能要求方面的影响因素。国外信息安全现状信息化发展比较好的发达国家，特别是美国，非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局，分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等，主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初，美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月，日本信息技术战略本部及信息安全

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

国内外信息安全研究现状及发展趋势

来，国际上已经提出了许多种公钥密码体制，但比较流行的主要有两类：一类是基于大整数因子分解问题的，其中最典型的代表是ＲＳＡ；另一类是基于离散对数问题的，比如ＥｌＧａｍａｌ公钥密码和影响比较大的椭圆曲线公钥密码。　我国学者也提出了一些公钥密码，另外在公钥密码的快速实现方面也做了一定的工作，比如在ＲＳＡ的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。公钥密码主要用于数字签名和密钥分配。当然，数字签名和密钥分配都有自己的研究体系，形成了各自的理论框架。目前数字签名的研究内容非常丰富，包括普通签名和特殊签名。特殊签名有盲签名，代理签名，群签名，不可否认签名，公平盲签名，门限签名，具有消息恢复功能的签名等，它与具体应用环境密切相关。序列密码主要用于政府、军方等国家要害部门，尽管用于这些部门的理论和技术都是保密的，但由于一些数学工具（比如代数、数论、概率等）可用于研究序列密码，其理论和技术相对而言比较成熟。从八十年代中期到九十年代初，序列密码的研究非常热，在序列密码的设计与生成以及分析方面出现了一大批有价值的成果，我国学者在这方面也做了非常优秀的工作。国外目前不仅在密码基础理论方面的研究做的很好，而且在实际应用方面也做的非常好。制定了一系列的密码标准，特别规范。算法的征集和讨论都已经公开化，但密码技术作为一种关键技术，各国都不会放弃自主权和控制权，都在争夺霸权地位。我国在密码基础理论的某些方面的研究也做得很好，但在实际应用方面与国外存在差距，缺乏自己的标准，也不够规范。密码技术特别是加密技术是信息安全技术中的核心技术，国家关键基础设施中不可能引进或采用别人的加密技术，只能自主开发。目前我国在密码技术的应用水平

国内外信息安全现状对比

国内外信息安全现状对比中外在保障信息安全重要性认识上的差异比较 (一)从战略地位层面来看：一些区域性国际组织明确强调把保障信息安全作为国际安全体系的重要组成部分，美国则坚持把保障信息安全的法制建设放在事关国家安全的位置来优先发展，并正式启动网络司令部以应对网络攻击。韩国国防部也计划成立网络司令部及规模为200人左右的独立部队，少将级将军负责指挥。而中国目前虽然认识到了保障信息安全对国家安全的重要性，但仍然没有把保障信息安全放到国家战略的层面来推进。这是导致中国在信息化建设中缺乏长远战略目标，信息化法制建设缺乏基本法的一个关键原因。 (二)从法制建设层面来看：西方国家对信息网络安全及其衍生出来的问题都予以高度重视，都坚持大力推进保障信息安全的法律规制体系建设，对网络监管毫不手软，对网络犯罪坚持依法从重从快打击。而中国信息化法制建设虽然也取得了一定成效，但完善的法律保障体系还没有建立起来，而且建设的推进速度还比较缓慢，甚至有些地方立法已经走在了国家立法的前面。各地探索依法规范信息安全的压力与积极性都比较大。 (三)从保障信息安全的组织措施层面来看：许多国家都坚持依法组建新的或提升保障信息安全的机构，不断健全国家信息安全机制，不择手段地网罗精英人才护卫信息安全，确保赢信息战的主动权。而中国的思想认识还没有跟上全球信息化发展的形势，对掌握赢得信息战主动权的重要性认识还不到位，导致组织措施不到位、法制促进机制没有到位，许多具体工作的推进难以有作为。 (四)从提升信息安全保障能力层面来看：许多国家都坚持通过不断完善信息安全立法，健全信息安全保障体系，来提高和强化保障信息安全的能力。而中国的信息化法制建设由于受制于经济发展阶段，谋求提升信息安全保障能力的意识、措施都还不到位，特别是危机意识、使命意识和责任意识都有待提高。 (五)从保障信息安全的法律措施层面来看：许多国家都坚持依法规制信息网络，依法坚决围剿和打击网络色情行为，坚持依法强化信息安全的保障措施，强力推进网络实名制规范。而中国保障信息安全的法治措施则还处在网民们的“是与否”的讨论之中，且大多是无果而终，使得本应由国家意志强力推进的行为，却往往在酝酿与等待之中“消亡”。实践反复证明，面对全球信息化飞速发展和日新月异的复杂变化形势，信息化法制建设根本犹豫不得、迟疑不得。

信息安全技术SM3密码杂凑算法编制说明全国信息安全标准化.doc

《信息安全技术SM3 密码杂凑算法》（征求意见稿）编制说明一、任务来源根据国家标准化管理委员会XX 年下达的国家标准制修订计划，国家标准《信息安全技术SM3 密码杂凑算法》由国家商密办负责主办。标准计划号为XXXXX （全国信息安全标准化技术委员会XXXX 年信息安全专项）。二、编制原则 1．坚持安全、实用、美观的技术标准：全面分析所制定规范的安全性，对算法的可抗攻击性进行完善分析，重点考虑实用性和其以后的推广；保证算法能够有效抵抗比特追踪法以及其他已知的分析方法。算法的设计过程中，算法的符号表述尽量标准、美观。 2．创新性：在算法标准的设计方面分别有不同的创新。 3．自主性：设计自主、符合我国需求的哈希算法。 4．高效性：设计的杂凑算法便于软、硬件平台高效的实现。在保障安全性的前提下，综合性能指标优于SHA-256。 5．合法性：符合国家有关法律法规和已经制定的标准规范的相关要求。三、主要工作过程（一）密码行业标准起草工作过程 1．设计评审阶段 2002年1月21日，国密办下达了“杂凑算法”研制任务的通知，算法于2002 年5月设计完成。2002年8月22日，技术处对数据所研制的SCH1杂凑算法进行了算法审查，并于8月29日至31日对其余六个分别由数据所、济南得安、中科院DCS 中心、成都卫士通、江南所和山东大学研制的SCH2-SCH7 进行了集中审查。确定并评审出SCH4 杂凑算法。 2．优化检测阶段 2003年7月，国密办向SCH4研制单位中科院数据与通信保护研究

教育中心下达了“关于对SCH4杂凑算法进行修改完善的通知”，9月26日“LSW杂凑算法课题组”完成SCH4杂凑算法修改完善工作完成并形成相关技术文档。2003年10 月27 日志12 月26 日，商用密码杂凑算法综合检测组在SSR02密码算法综合检测平台、IC卡汇编语言仿真检测平台、FPGA/ASIC 仿真检测平台上对优化后的 SCH4 杂凑算法进行了综合检测并形成综合检测记录和检测报告。 3．初稿编写及IP 核实施阶段 2004年6月国密办下达杂凑算法标准编写任务。7月～10月底，中科院数据通信与保护研究教育中心根据杂凑算法标准编写任务的要求完成商用密码杂凑算法标准，形成初稿。同年11月，根据国密办《关于下达杂凑算法IP 核设计任务的通知》，国家密码管理委员会办公室商用密码研究中心承担了SCH4 杂凑算法0.35um、0.25um、0.18um三种工艺IP核实现的设计任务，形成SCH4算法IP核实施方案。 4．算法修改及初稿重新修订阶段 2005年3月，针对王小云教授自主研发的比特追踪法破解MD5 等算法的情况，国家密码管理局请专家组对SCH4 算法进行了针对性分析，分析结果表明该算法不能有效抵御比特追踪法分析；随后国家密码管理局紧急组织成立了SCH 杂凑算法研制攻关组，在保持SCH4 基本结构的基础上，运用最先进的杂凑算法分析和设计理论对其修改，研制了SCH 算法并对初稿进行重新修订。新算法采用了新颖的消息扩展算法、双字介入的并行压缩结构以及混合使用不同群运算，有利于消息的扩散和混乱，便于软、硬件实现。针对算法本身特点，综合运用差分抗碰撞分析、线性分析和均差分析等方法进行了深入的安全性分析，特别是针对国际上最先进的比特追踪法进行了安全设计和分析。结果表明，该算法安全强度高，灵活性好，技术先进，设计上有创新，适合软硬件实现，适合IC 卡等终端用户产品实现。 5．征求意见稿编写阶段 2005 年5 月，对初稿进行修改和补充，结合各成员单位多年技术积